En el día de hoy publiqué un twit denunciando públicamente cómo se tratan los datos personales y de salud en la República Argentina, y en este caso en particular en la provincia de Entre Ríos. (Lo de "desesperado" fue una exageración para que llegue más rápido a los responsables.)

El incidente comenzó cuando un lector (gracias Walter!!) me informó que un enlace a un sitio .com.ar (no gubernamental) estaba siendo enviado por Whatsapp a los pacientes que se realizan PCR en los hospitales públicos de la zona. El mensaje que llega al paciente es el siguiente:

Como se puede ver, en enlace apunta a un archivo PDF dentro del directorio "/constancias" del sitio mencionado. Este proceso se realiza desde hace tiempo y desconozco desde cuándo los datos han estado expuestos.

El proceso es el siguiente:

• Alguien del Estado, del Ministerio de Salud o desconozco quién, contrata a un profesional particular que brinda el alojamiento en el sitio web mencionado, el cual se encuentra alojado en DonWeb
• En ese sitio se almacenan todos los estudios PCR en formato PDF y sin autenticación previa.
• El paciente va al hospital y se realiza su PCR.
• El paciente recibe el resultado (+/-) vía Whatsapp con un enlace de descarga directa a su informe.
• El PDF tiene todos los datos personales y de salud del paciente

El inconveniente aparece cuando el dueño del sitio olvida proteger el directorio "/constancias" y permite el listado abierto de todos los archivos PDF. Cualquiera que acceda al directorio abierto, sin autenticación previa, puede acceder a todos los resultados.

Al llamar directamente a su teléfono personal, el dueño del sitio .com.ar procedió a bloquear la navegación de directorio inmediatamente. Luego, al reportar el problema de forma personal a un directivo de @DonWebOficial, el sitio fue bloqueado temporalmente y luego los archivos fueron eliminados por el dueño del sitio.

Por el twit, decenas de personas se pusieron en contacto y rápidamente el CERT de Argentina también lo hizo para confirmar que el sitio había sido bloqueado.

Es importante remarcar que el sitio SISA, este sí dependiente del Ministerio de Salud, también tiene los mismos datos y los mismos archivos PDF alojado en su sitio web y los mismos también son accesibles, mediante otro procedimiento. Esto también fue reportado al CERT.

Al margen del problema técnico ya solventado y que, literalmente lleva 30 segundos solucionar, surgen los siguientes planteamientos:

• ¿Por qué un profesional particular es contratado por el Estado para realizar el hosting de datos sensibles? Incluso, surge la posibilidad de que dicha persona brinde este servicio "de onda", por buena predisposición o simplemente porque "tenía un servidor a mano".
• ¿Por qué un sitio .com.ar aloja datos sensibles sin ningún tipo de control previo?
• ¿Por qué el Estado no controla los datos sensibles publicados?
• ¿Por qué un particular cualquiera tiene datos de salud en su poder? No importan las buenas intenciones de la persona (que no dudo que las tiene), importa el proceso.
• ¿Dónde más están alojados esos datos? Hemos podido confirmar al menos 2 lugares más que son "mirror" del original.
• ¿Cuántos sitios similares existen en Argentina?
• ¿Qué hace el Estado para controlar y protegernos?
• ¿Qué hace la Agencia de Acceso a la Información Pública (AAIP) para controlar y protegernos? 

El caso de un sitio que publica datos personales y de salud pasa tan desapercibido en Argentina y "hasta es normal" que varios personas afirman que los PCR deberían ser públicos. Esto tiene varias aristas.

1. Comparto que una estadística de PCR debería ser público porque es para el bien público. Incluso podría ser discutible si un dato de "Positivo" / "Negativo" debería ser público, pero NO es discutible que un dato personal como la dirección del paciente, su teléfono personal y sus enfermedades prevalentes sean públicos, simplemente porque no corresponde y porque es Ley en Argentina.
2. La ley 25.326 es el mecanismo existente de protección de los datos personales en Argentina, que incluye los datos sensibles y de salud y también establece principios de licitud de tratamiento de datos personales en general, que resultan aplicables a los datos relativos a la salud.

En el twit también aparece la discusión, ridícula a esta altura, de si: (1) esta información debe ser publicada en favor de la ciudadanía; (2) hay que ocultarla, posiblemente beneficiando a algún delincuente que la encuentre o; (3) denunciarla por los canales oficiales.

La respuesta para mí es obvia: primero se debe informar por el canal oficial y luego hacerlo público, porque la gente merece saber cómo se protegen (o no) sus datos. Ese modelo funcionaría en un país de verdad.

Entonces ¿por qué lo publiqué primero y luego lo reporté? La respuesta también es sencilla: la experiencia me enseño que si estos casos se hacen público, la gente involucrada (del Estado o privados) actúa más rápido.

Para bien o para mal tengo un canal de publicación con muchos lectores, muchos de ellos profesionales de seguridad y no me cabe duda que cada post llega y algunos calan hondo, ¿no sería una irresponsabilidad de mi parte no usar ese poder para intentar ayudar?

Sí, siempre existirá el que critica desde el anonimato o en canales privados, para ellos, este post.

Cristian de Segu-Info